De ziekenhuizen deden op voorwaarde van anonimiteit mee aan het onderzoek van de NOS, omdat zij anders bang zijn hackers aan te trekken. Twintig ziekenhuizen gaven aan vanwege die overweging helemaal niet mee te willen doen.
De kwetsbaarheid van de ziekenhuizen wordt vergroot door het gebruik van verouderde ict-techniek. Zo maken veertien van de vijfentwintig ziekenhuizen op sommige afdelingen nog gebruik van besturingssysteem Windows XP, dat niet meer gratis wordt voorzien van beveiligingsupdates. Slechts één ziekenhuis zegt te betalen voor dergelijke updates.
Een van de belangrijkste redenen waarom ziekenhuizen nog gebruikmaken van een verouderd besturingssysteem is omdat die vaak is ingebouwd in medische apparatuur, zoals MRI-scanners. Omdat de apparatuur zelf nog goed werkt, besluiten veel ziekenhuizen de machines te ontkoppelen van het internet of er een firewall omheen te zetten.
Meer investeren
Volgens de Nederlandse Vereniging van Ziekenhuizen tonen de onthullingen aan dat ziekenhuizen meer moeten investeren in digitale beveiliging. “De afgelopen jaren was er veel aandacht voor het beheersen van kosten, en dat heeft er soms toe geleid dat er te weinig aandacht was voor ict”, aldus voorzitter Yvonne van Rooij.
“Dit is een heel ernstig signaal”, zei beveiligingsonderzoeker Sijmen Ruwhof tegen de omroep. Hij onderzocht in opdracht van verschillende ziekenhuizen de digitale veiligheid. “Ransomware is eigenlijk een schot hagel, een toevalstreffer”, aldus Ruwhof. “Kun je nagaan wat er gebeurt als hackers proberen gericht een Nederlands ziekenhuis te treffen.”
Omdat ziekenhuizen bijna dagelijks back-ups maken van hun data, hoefde geen van de getroffen instellingen losgeld te betalen na ransomware-infecties en gingen er maar weinig gegevens verloren. In een van de ziekenhuizen ontstonden wel vertragingen op een polikliniek door een digitale aanval.
Gevoelige gegevens
In het buitenland hebben hackers al voor grote problemen gezorgd in ziekenhuizen. In mei werden zeven ziekenhuizen in het Verenigd Koninkrijk getroffen door het Wannacry-virus, waardoor het werk op hele afdelingen stil kwam te liggen. Ook een Duits ziekenhuis moest het vorig jaar na een virus-infectie wekenlang doen zonder internet. Dat zorgde ervoor dat operaties moesten worden uitgesteld.
Een ander risico is dat hackers gevoelige patiëntgegevens buitmaken. De meeste ziekenhuizen uit het onderzoek van de NOS zeggen dat dit bij hen niet is gebeurd. Twee instellingen zeggen niet te weten of er gegevens zijn gestolen.
